在安装家庭宽带时,运营商会给用户一个网关设备,现在常见的就是光猫。这些设备,会提供给用户一个普通账户和密码,可以进行一些有限的修改,在中国电信的设备上,这个账户是useradmin。然而,总是有些玩家想要更大程度地控制自己的设备,启用更多的功能,于是,出现了各种破解的方法,找出了不同的设备具有的隐藏账户和密码。这里,记录一些常见设备的隐藏账户及其相关的配置页面。
一般来说,隐藏的账户会有两个,一个是运营商管理账户,可以修改大多数路由配置功能,在中国电信的设备上,这个账户是telecomadmin;一个是工厂账户,它可以修改设备管理的底层功能,这个账户根据设备生产商有所不同。以下列出收集到的设备信息。
账户与配置页
烽火HG220GS
硬件版本为BCM.V2.0且软件版本为E00D1.00M5002的设备已验证有效。
启用隐藏账户页面:http://192.168.1.1/logoffaccount.html
。如果打开这个页面需要登录,用普通账户登录即可,然后可以在这个页面里启用工厂账户。没有在此启用的话,即使知道了工厂账户的密码,也是无法登录的。
这个型号的设备,中国电信版本的工厂账户是fiberhomehg2x0
,密码是hg2x0
。telnet账号是admin
,密码是admin
。超级用户的密码,需要使用工厂账户登录http://192.168.1.1
后,在地址栏里输入http://192.168.1.1/backupsettings.conf
下载backupsettings.conf
,然后查找Password
关键词,在TeleComAccount
下面这一行的内容,即是telecomadmin
账户经Base64编码后的密码,使用Base64解码工具即可获得原文密码。
HG226G(未经验证)
额外登录页面:http://192.168.1.1/brcm/login.html
。一般而言,网关的登录页面是http://192.168.1.1
,但有的设备可以通过这个地址登录。
备份配置页面:http://192.168.1.1/brcm/backupsettings.html
。此页面提供配置下载功能,从这里下载的配置文件可以找到telecomadmin
的密码,密码可能是明文的,也可能是Base64编码后的。
更新配置页面:http://192.168.1.1/brcm/updatesettings.html
。这个页面可以上传修改后的配置文件,并更新到设备。
上述几个在/brcm下的页面,登录账户是admin
,密码是admin
。
这个型号的设备,工厂账户是fiberhomehg2x0
,密码是hg2x0
。
吉比特CM113-Z(未经验证)
启用隐藏账户页面:http://192.168.1.1/logoffaccount.html
(2021-02-02:根据网友(hashwu333)[https://github.com/hashwu333]提供的信息:登录地址应该是:http://192.168.1.1
)。如果打开这个页面需要登录,用普通账户登录即可,然后可以在这个页面里启用工厂账户。
这个型号的设备,中国移动版本的超级账户是CMCCAdmin
,密码是aDm8H%MdA
。工厂账户是fiberhomehg2x0
,密码是hg2x0
。
烽火HG6821M光猫(未经验证)
启用隐藏账户页面:http://192.168.1.1/logoffaccount.html
。如果打开这个页面需要登录,用普通账户登录即可,然后可以在这个页面里启用工厂账户。
文件配置信息地址:http://192.168.1.1/cgi-bin/baseinfoSet.cgi
。
临时开启telnet服务页面:http://192.168.1.1/cgi-bin/telnetenable.cgi?telnetenable=1
。
这个型号的设备,中国移动版本的超级账户是CMCCAdmin
,密码是aDm8H%MdA
。工厂账户是fiberhomehg2x0
,密码是hg2x0
。telnet账号是root
,密码是hg2x0
或abcd
。
使用工厂账户登录后,可在维护页面,一键下载配置目录下所有文件。解压后打开param.xml
可以查询运营商管理账户密码。factory.conf
文件里则保存了光猫的所有配置信息。
也可以在使用telnet登录设备后,查看/flash/cfg/agentconf/factory.conf
文件获得超级用户密码。
如何取得这些信息
- 查看厂商的说明书
- 从网络上搜索对应设备型号
- 从业内人士处了解到
- 使用普通账户登录后,分析网页的源代码和脚本,例如,从HG220GS设备上登录后,查看源码可以发现如下内容:
1 | <script language='javascript'> |
进一步从脚本menuCT.js找到createCTMenu函数:
1 | function createCTMenu(options) { |
进而分析整个menuCT.js文件,就可以知道options
数组中出现的useradmin
、telecomadmin
、useradmin
、fiberhomehg2x0
分别对应的是INUSENAME
、ADMINNAME
、USERNAME
、FACTORYNAME
。
- 拆开硬件后,自行在主板上接上串口线(一般是TTL四线连接),然后要么按CTRL+C,要么搜索相应型号的telnet用户和密码登录Shell,探索文件系统的内容来分析。